IT-Sicherheit für Dummies. Rainer W. Gerling

Чтение книги онлайн.

СКАЧАТЬ der betroffenen Betreiber und der betroffenen Wirtschaftsverbände« festlegt (§ 8a Abs. 5). In der DS-GVO erfolgt die Zulassung der Zertifizierungsstellen durch die Datenschutz-Aufsichtsbehörden. In anderen Bereichen gibt es entsprechende Regelungen.

      Die in den Anwendungsbereich des BSI-Gesetzes fallenden Unternehmen müssen alle zwei Jahre durch Audits nachweisen, dass sie die IT-Sicherheitsvorgaben einhalten. Hierzu müssen die Audit-Berichte externer zertifizierter Prüfer dem BSI vorgelegt werden.

Auch die DS-GVO sieht Audits, hier Zertifizierungen genannt, als hilfreich an. Verantwortliche Stellen sollen sich freiwillig zertifizieren lassen, um nachzuweisen, dass sie alle datenschutzrechtlichen Vorgaben einhalten. Die DS-GVO sieht vor, dass eine Zertifizierung für maximal drei Jahre gültig sein darf. Die Zertifizierung kann sowohl von der Zertifizierungsstelle als auch von den Aufsichtsbehörden vorzeitig widerrufen werden.

      Bei der Anerkennung der Zertifizierung ist die DS-GVO sehr vorsichtig. »Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.« Muss ein Unternehmen die Einhaltung der Sicherheit der Verarbeitung nach Art. 32 DS-GVO der Aufsichtsbehörde nachwiesen, ist die Zertifizierung ein Anhaltspunkt für die Einhaltung der Vorgaben.

      Theoretisch kann sich ein Unternehmen auch freiwillig auditieren lassen. Dies ist aber wegen des damit verbundenen Aufwands nur üblich, wenn damit gegenüber den Kunden wettbewerbliche Vorteile möglich sind, also letztendlich die Vorteile den Aufwand rechtfertigen.

      Ein Audit läuft in vier wesentlichen Stufen ab:

       Festlegung des räumlichen und sachlichen Prüfgegenstands,

       Prüfung der Dokumentation (Soll-Zustand),

       Vor-Ort Prüfung der Umsetzung (Ist-Zustand) durch Interviews und Begehungen,

       Präsentation der Ergebnisse und Maßnahmenempfehlungen.

      Sie wählen einen IT-Sicherheits-Dienstleister, der für den Audit-Zweck, den Sie anstreben, zugelassen ist. Wenn Sie als Unternehmen des KRITIS-Bereichs regelmäßig ein Audit machen müssen, wählen Sie einen Dienstleister, der hierzu zugelassen und anerkannt ist. Das dafür erforderliche Verfahren ist seitens des BSI detailliert geregelt und dokumentiert.

      Der Zweck eines Audits wird zu Beginn des Audits vom Auftraggeber definiert. Dazu legen Sie fest, welcher Teil des Unternehmens auditiert werden soll. Es macht keinen Sinn das gesamte Unternehmen zu auditieren, da das viel zu aufwendig ist. Je nach Zweck des Audits lassen Sie die Kundendatenverarbeitung, den Forschungs- und Entwicklungsbereich oder einen anderen Unternehmensbereich auditieren. Das entscheiden Sie auf Basis Ihres Bedarfs oder der externen Anforderungen.

      Die Auditoren werden zuerst die Dokumentation zur IT-Sicherheit, also den Soll-Zustand prüfen. Dabei wird die Dokumentation auch auf Vollständigkeit und Sinnhaftigkeit geprüft. Wenn die Auditoren die IT-Sicherheitsorganisation und die technischen IT-Sicherheitsstrukturen in Ihrem Unternehmen verstanden haben, werden die Auditoren vor Ort durch Begehungen und Interviews mit den Beteiligten überprüfen, ob die Papierform mit der tatsächlichen Situation übereinstimmt. Sie wissen ja, Papier ist geduldig.

Selbst wenn Sie als Buchhalterin oder Sachbearbeiter im Unternehmen arbeiten, kann es Ihnen passieren, dass ein Auditor mit Ihnen spricht. Dabei geht es um so einfache Fragen wie: »Kennen Sie die IT-Sicherheitsregeln? Wie wurden Sie damit vertraut gemacht? Verschlüsseln Sie Ihre E-Mail? Klappt das reibungslos?« – Denn was nutzen die besten Regeln, wenn die Nutzerinnen sie nicht kennen? Auch wenn die Umsetzung so kompliziert für die Nutzerinnen ist, dass »kreative Workarounds« gefunden werden, ist das wichtig für die Auditoren. Diese wollen ein echtes Bild der Situation im Unternehmen und keinen Hochglanzprospekt.

      Aus alle Erkenntnissen wird dann ein Abschlussbericht erstellt, der mit dem Unternehmen besprochen wird. Dabei geht es aber nicht nur um Kritik im Sinne einer Aufzählung, was alles falsch läuft. Es geht auch um eine Strategie zur Verbesserung der IT-Sicherheit. Welche Maßnahmen sind jetzt erforderlich? Bis wann sollten diese umgesetzt sein? Was ist eine sinnvolle Priorisierung für die Umsetzung der verschiedenen Maßnahmen? Gute Auditoren helfen Ihnen mit ihren Hinweisen und Empfehlungen, besser zu werden.

      Bei der Präsentation des Abschlussberichts und der daraus folgenden Diskussion der zu ergreifenden Maßnahmen muss die Geschäftsleitung dabei sein. Auch wenn Sie der Meinung sind, die Geschäftsleitung kennt das alles, weil Sie es schon oft genauso gesagt haben. Denken Sie daran, in der Regel gilt der Prophet nichts im eigenen Land. Wenn das Ergebnis von einem externen Experten vorgestellt wird, hört Ihre Geschäftsführung höchstwahrscheinlich eher darauf. Und dann haben Sie etwas erreicht.

      

Damit Sie im Unternehmen einen möglichst vorurteilsfreien Blick auf die IT-Sicherheit erhalten, empfiehlt es sich, von Zeit zu Zeit das (interne) Auditoren-Team zu wechseln. Irgendwann werden die Auditoren betriebsblind, weil sie nur noch die Umsetzung ihrer eigenen Empfehlungen aus dem letzten Audit prüfen. Ein neues Auditoren-Team bringt neue Blickwinkel und frischen Wind in das Audit. Das wird zu Ihrem Vorteil sein. Schließlich wollen Sie ja die IT-Sicherheit verbessern.

Kapitel 4

      Datenschutz und technisch-organisatorische Maßnahmen

      IN DIESEM KAPITEL

       Die Vorgaben von Artikel 32 DS-GVO

       Schutzziele der DS-GVO

       Die Betroffenen stehen im Mittelpunkt

      Die DS-GVO verlangt in Art. 32 Abs. 1 von der verantwortlichen Stelle technisch-organisatorische Maßnahmen (TOM), um den Datenschutz zu gewährleisten.

      

»Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

      a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

      b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

      c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

      d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.«

      Art. 32 Abs. 1 Datenschutz-Grundverordnung

Im ersten Halbsatz des Absatzes finden Sie eine Vorgabe zu den vier Kriterien, die die verantwortliche Stelle abwägen muss. Im Grunde ist es die detaillierte Ausgestaltung des Erforderlichkeitsprinzips, das im BDSG alter Fassung noch als »erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen СКАЧАТЬ